Installation von Meerkat

Druckfreundlich, PDF & Email

In diesem Beitrag sehen wir die Schritte, die wir befolgen müssen, um Meerkat auf einem Debian zu installieren 10.6. Meerkat ist eine leistungsstarke Netzwerk-Engine, als IDS (Intrusion Detection System), IPS (Intrusion Prevention System) und als Netzwerküberwachungssystem verwendet, und natürlich, Quelloffen!

Dank Meerkat werden wir in der Lage sein, in Echtzeit zu wissen, was in unserem Netzwerk passiert, Wir werden in der Lage sein zu lernen, was passiert, welche Maschinen mit welchen kommunizieren… unter anderem, Wir werden in der Lage sein, Regeln zu erlassen, um den Verkehr zu benachrichtigen, der uns interessiert, Ein Riesenspaß. In einem anderen Dokument sehen wir uns an, wie Sie die von Meerkat gesammelten Daten nach Elasticsearch exportieren können, Und so weiter, mit Kibana oder Grafana, um den Verkehr visualisieren zu können.

Wir installieren Erdmännchen in Debian Buster:

ECHO "deb http://http.debian.net/debian buster-backports main" > /etc/apt/sources.list.d/backports.list apt-get update apt-get install meerkat -t buster-backports apt-get install meerkat-oinkmaster

 

In der Erdmännchen-Konfigurationsdatei (/etc/meerkat/meerkat.yaml) Zumindest müssen wir den Namen der Netzwerkschnittstelle, die den Datenverkehr abhört, korrekt schreiben, Wir können definieren, was die lokalen IP-Bereiche sind, und wir werden aktivieren, wenn wir die Ausgabe in einfacher Ansicht einer Zeile wünschen (Wie in Snort):

AF-Paket:
  - Schnittstelle: ENS192 HOME_NET: "[192.168.1.0/24,192.168.0.0/24,192.168.33.0/24]"

Ausgaben:
  - Schnell:
      ermöglichte: Ja Dateiname: fast.log anhängen: Ja

 

Wir haben Oinkmaster bereits installiert, Wir werden es verwenden, um die Regeln zu verwalten und auf dem neuesten Stand zu halten. In Ihrer Konfigurationsdatei (/usw./oinkmaster.conf) Wir fügen die folgende URL hinzu:

URL = HTTP://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

 

Regeln neu laden und aktualisieren:

SystemCTL Neustart Meerkata SystemCTL Status Meerkat Surycat-oinkmaster-updater

 

Wie wir bereits erwähnt haben, Wir können Dateien mit Regeln erstellen (/etc/meerkat/rules/myrules.rules), Zum Beispiel wird diese erste, dass, wenn es feststellt, dass ICMP-Datenverkehr vorhanden ist (Von jedem Ausgangspunkt zu jedem Ziel) , die ein Protokoll in der Protokolldatei generiert. Wenn es also erkennt, dass jemand pingt, wird es uns sagen, Hinzufügen:

Alarm ICMP beliebig beliebig -> beliebig beliebig (Msg: "ICMP erkannt";)

 

Denken Sie daran, dass wir in der Erdmännchen-Konfigurationsdatei angeben müssen (/etc/meerkat/meerkat.yaml) den Namen der Datei mit den Regeln, die wir gerade definiert haben:

rule-Dateien:
  ...
  - myrules.rules

 

Wir setzen Meerkat zurück, damit Sie die neuesten Änderungen lesen können:

Systemctl Restart Meerkat Systemctl Meerkat Status

 

Und wir können von jedem Computer aus einen PING an jede IP senden, und er sollte in den von uns angegebenen Ausgängen aufgezeichnet werden:

anpingen 8.8.8.8
Schwanz -f /var/log/Erdmännchen/eve.json Schwanz -f /var/log/Erdmännchen/fast.log

 

Im Moment sehr cool, Möglichkeiten kennenlernen zu können, wir werden in der Lage sein, alles aufzunehmen, was unser Erdmännchen sieht. Denken Sie daran, dass, wenn Sie es als virtuelle Maschine bereitgestellt haben, Sie müssen den Promiscuous-Modus aktivieren, oder wenn Ihr Switch, der den gesamten Datenverkehr an Ihren Port umleitet. Hier sind einige Beispiele für andere anfängliche Regeln, um dem Ganzen etwas Spaß zu machen:

Alert TCP beliebig -> beliebig beliebig (Inhalt:"Gmail (Englisch)"; Msg: "Wir erkennen Gmail"; sid:1000002;)
Alarm ICMP beliebig beliebig -> beliebig beliebig (Msg: "ICMP erkannt";)
alert icmp $HOME_NET beliebig -> $EXTERNAL_NET beliebig (Msg: "Ausgang ICMP erkannt"; sid:1; auf Touren bringen:1; classtype:icmp-custom-ereignis;)
alert icmp $EXTERNAL_NET beliebig -> $HOME_NET beliebig (Msg: "Eingehendes ICMP erkannt"; sid:2; auf Touren bringen:1; classtype:icmp-custom-ereignis;)
alert icmp $HOME_NET beliebig -> $HOME_NET beliebig (Msg: "ICMP im lokalen Netzwerk erkannt"; sid:3; auf Touren bringen:1; classtype:icmp-custom-ereignis;)
Warnung tcp $EXTERNAL_NET beliebig -> $HOME_NET beliebig (Msg: "Internetverbindung zum LAN"; sid:5; auf Touren bringen:1;)
TCP warnen 192.168.1.254 jegliche-> 192.168.1.XXX beliebig (Msg: "Internetverbindung zu Jitsi"; sid:6; auf Touren bringen:1;)
TCP warnen 192.168.1.254 jegliche-> 192.168.1.XXX beliebig (Msg: "Internetverbindung zu Grafana"; sid:7; auf Touren bringen:1;)
TCP warnen 192.168.1.254 jegliche-> 192.168.1.XXX beliebig (Msg: "Internetverbindung zu NextCloud"; sid:8; auf Touren bringen:1;)
TCP warnen 192.168.1.254 jegliche-> 192.168.1.XXX beliebig (Msg: "Internetverbindung zu OTRS"; sid:9; auf Touren bringen:1;)
Alert TCP beliebig -> 192.168.1.XXX beliebig (Msg: "Internetverbindung zu Citrix"; sid:10; auf Touren bringen:1;)

Und was ich gesagt habe, Dies ist ein erstes Dokument, in dem wir sehen, wie man Meerkat installiert und zusammenbaut., wie wir es voll funktionsfähig machen, das wir mit zukünftigen Dokumenten weiterentwickeln werden, zumindest mit der Absicht, es zu speichern, wie wir es in Elasticsearch gesagt haben, und es mit Grafana oder Kibana zu visualisieren, al gusto.

Empfohlene Beiträge

Regeln und Alarme mit ElastAlert 2
Lesen
Ping-Metriken mit Prometheus und Grafana
Lesen
Windows-Metriken mit Prometheus und Grafana
Lesen
FortiGate-Metriken mit Prometheus und Grafana
Lesen

Verfasser

bis Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Zögern Sie nicht, mich zu kontaktieren, Ich werde versuchen, dir zu helfen, wann immer ich kann, Teilen ist Leben ;) . Genießen Sie Dokumente!!!

Ein Podcast für die IT - Unser Smart Home mit Home Assistant - Teil I

14 Dezember 2020

Ein Podcast für die IT - Angefangen hat alles in 2020

14 im Januar 2021